本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 安全性 Amazon Transfer Family
<a name="security"></a>

云安全 Amazon 是重中之重。作为 Amazon 客户，您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。

安全是双方共同承担 Amazon 的责任。[责任共担模式](https://www.amazonaws.cn/compliance/shared-responsibility-model/)将其描述为云*的* 安全性和云*中* 的安全性：

要了解是否属于特定合规计划的范围，请参阅Amazon Web Services 服务 “” [Amazon Web Services 服务 中的 “按合规计划划分的范围](https://www.amazonaws.cn/compliance/services-in-scope/)”，然后选择您感兴趣的合规计划。 Amazon Web Services 服务 有关一般信息，请参阅[合规计划](https://www.amazonaws.cn/compliance/programs/)。

您可以使用下载第三方审计报告 Amazon Artifact。有关更多信息，请参阅中的 “[下载报告” Amazon Artifact](https://docs.amazonaws.cn/artifact/latest/ug/downloading-documents.html)。

您在使用 Amazon Web Services 服务 时的合规责任取决于您的数据的敏感性、贵公司的合规目标以及适用的法律和法规。有关您在使用时的合规责任的更多信息 Amazon Web Services 服务，请参阅[Amazon 安全文档](https://docs.amazonaws.cn/security/)。

本文档可帮助您了解在使用时如何应用分担责任模型 Amazon Transfer Family。以下主题向您介绍如何进行配置 Amazon Transfer Family 以满足您的安全和合规性目标。您还将学习如何使用其他 Amazon 服务来帮助您监控和保护您的 Amazon Transfer Family 资源。

我们提供一个研讨会，提供规范性指导和动手实验，介绍如何在无需修改现有应用程序或管理服务器基础架构 Amazon 的情况下构建可扩展且安全的文件传输架构。您可以[在此处](https://catalog.workshops.aws/basic-security-workshop-transfer-family/en-US)查看本次研讨会的详细信息。

**Topics**
+ [VPC 连接安全优势](#vpc-connectivity-security)
+ [Amazon Transfer Family 服务器的安全策略](security-policies.md)
+ [Amazon Transfer Family SFTP 连接器的安全策略](security-policies-connectors.md)
+ [使用混合后量子密钥交换 Amazon Transfer Family](post-quantum-security-policies.md)
+ [数据保护和加密](encryption-at-rest.md)
+ [在 Transfer Family 中管理 SSH 和 PGP 密钥](key-management.md)
+ [的身份和访问管理 Amazon Transfer Family](security-iam.md)
+ [合规性验证 Amazon Transfer Family](transfer-compliance.md)
+ [韧性在 Amazon Transfer Family](disaster-recovery-resiliency.md)
+ [在 VPC 和之间创建私有连接 Amazon Transfer Family APIs](vpc-api-endpoints.md)
+ [中的基础设施安全 Amazon Transfer Family](infrastructure-security.md)
+ [添加 Web 应用程序防火墙](web-application-firewall.md)
+ [防止跨服务混淆代理](confused-deputy.md)
+ [Amazon Transfer Famil Amazon y 的托管政策](security-iam-awsmanpol.md)

## VPC 连接安全优势
<a name="vpc-connectivity-security"></a>

具有 VPC 出口类型的 SFTP 连接器通过跨虚拟私有网络资源访问提供增强的安全优势：
+ **网络隔离**：所有流量都保留在您的 VPC 环境中，从而为私有终端节点连接提供与公共互联网的完全网络隔离。
+ **源 IP 控制**：远程 SFTP 服务器只能看到您的 VPC CIDR 范围中的 IP 地址，因此您可以完全控制用于连接的源 IP 地址。
+ **私有终端节点访问**：使用私有 IP 地址直接连接到 VPC 中的 SFTP 服务器，从而消除对公共互联网的暴露。
+ **混合连接**：通过已建立的 VPN 或 Direct Connect 连接安全地访问本地 SFTP 服务器，无需额外的互联网接入。
+ **VPC 安全控制**：利用现有 VPC 安全组和路由策略来控制和监控 SFTP 连接器流量。 NACLs

### VPC 莱迪思安全模型
<a name="vpc-lattice-security-model"></a>

SFTP 连接器的 VPC 连接使用 Amazon VPC 莱迪思和服务网络来提供安全的多租户访问：
+ **混乱的副手预防**：身份验证和授权检查可确保连接器只能访问其配置的特定资源，从而防止未经授权的跨租户访问。
+ **IPv6仅限服务网络**：使用 IPv6寻址来避免潜在的 IP 地址冲突并增强安全隔离。
+ **转发访问会话 (FAS)**：临时凭证处理无需长期存储凭证或手动共享资源。
+ **资源级访问控制**：每个连接器都与特定的资源配置相关联，从而确保对各个 SFTP 服务器进行精细的访问控制。

### VPC 连接的安全最佳实践
<a name="vpc-security-best-practices"></a>

使用 VPC 出口类型连接器时，请遵循以下安全最佳实践：
+ **安全组**：将安全组配置为仅允许必要资源之间的 SFTP 流量（端口 22）。将源和目标 IP 范围限制在所需的最小范围内。
+ **资源网关放置**：尽可能在私有子网中部署资源网关，并确保它们跨越至少两个可用区以实现高可用性。
+ **网络监控**：使用 VPC 流日志和 Amazon CloudWatch 监控网络流量模式并检测异常活动。
+ **访问日志**：启用连接器日志记录以跟踪文件传输活动并维护合规性要求的审计跟踪。
+ **资源配置管理**：定期检查和更新资源配置，确保它们指向正确的 SFTP 服务器并使用适当的网络设置。